모든 브랜드가 CCPA에 대해 알아야 할 핵심 사항
게시 됨: 2019-12-212018년에 유럽 일반 데이터 보호 규정(GDPR)이 시행되면서 유럽 및 전 세계 기업의 데이터 개인 정보 보호 환경이 재편되었으며, 소비자 데이터 개인 정보 보호 및 보안은 고객 참여에 관심이 있는 모든 사람에게 필수적인 주제가 되었습니다.
캘리포니아 소비자 개인 정보 보호법(CCPA)이 2020년 1월 1일에 시행되기 시작하면서 GDPR에 의해 시작된 개인 정보 혁명이 미국 기업의 안식처가 되었습니다. 이 새로운 법안은 큰 주제이며 브랜드, 특히 규정 준수 작업을 시작하지 않은 브랜드에게는 두려운 일입니다. Braze는 고객이나 다른 사람에게 법적 조언을 제공할 수 없지만 CCPA 및 데이터 개인 정보 보호와 관련하여 일반적으로 고려해야 할 몇 가지 주요 사항을 안내해 드릴 수 있습니다. 최신 정보를 얻으려면 계속 읽으십시오.
기초
CCPA 란 무엇입니까?
CCPA는 캘리포니아 소비자 개인 정보 보호법(California Consumer Privacy Act)을 의미하며 원래 2018년 6월 캘리포니아 주 정부에서 통과되었습니다. 이 법은 캘리포니아에 거주하는 사람들을 위한 새로운 개인 정보 및 소비자 보호를 생성합니다. CCPA의 시행은 2020년 1월 1일부터 시작됩니다.
캘리포니아가 CCPA를 통과한 이유는 무엇입니까?
2018년 Cambridge Analytica 스캔들을 포함하여 일련의 데이터 개인 정보 보호 사건이 발생한 후 "소비자 개인 정보 보호를 위한 캘리포니아인"이라는 옹호 단체는 유권자가 통과했다면 매우 엄격한 새로운 소비자 개인 정보 보호법을 제정했을 주 투표 이니셔티브를 제안했습니다.
이러한 노력을 선점하기 위해 캘리포니아 주의회는 CCPA를 도입하고 통과시켰고 소비자 개인 정보 보호를 위한 캘리포니아 주민들이 발의를 철회하도록 했습니다. CCPA는 미국에서 소비자 데이터 개인 정보 보호 권리와 관련하여 새로운 영역을 개척한 것으로 간주되지만 제안된 이니셔티브보다 덜 엄격한 요구 사항을 특징으로 합니다.
캘리포니아 거주자는 CCPA에 따라 어떤 권리를 가집니까?
CCPA에 따라 캘리포니아 거주자는 자신의 개인 정보(PI)를 수집하는 사람과 해당 정보로 수행되는 작업을 알 권리가 있으며 정보에 액세스하고 해당 정보를 삭제하고 "판매"를 거부할 권리가 있습니다. "라고 명시되어 있으며, 이러한 모든 권리를 차별 없이 행사할 수 있습니다.
CCPA는 캘리포니아 외부에 있는 조직에 적용됩니까?
이 법은 캘리포니아에서 2,500만 달러 이상의 수익을 올리는 비즈니스를 하는 모든 조직과 50,000명 이상의 캘리포니아 거주자로부터 데이터를 수집하거나 수익의 50% 이상을 개인 정보 "판매"에서 얻는 비즈니스에 적용됩니다. 여기에는 캘리포니아 주에 기반을 둔 대부분의 회사와 캘리포니아 거주자를 포함하는 청중을 가진 많은 미국 및 국제 조직이 포함될 수 있습니다.
CCPA 및 데이터
CCPA에서 규제하는 데이터는 무엇입니까?
CCPA는 비즈니스 목적과 관련된 "개인 정보"의 수집, 판매 및 공개에만 적용됩니다. 그러나 소셜 미디어 회사, 데이터 브로커 및 온라인 행동 광고주가 처리하는 방대한 양의 데이터를 목표로 통과했기 때문에 광범위한 영향을 주는 여러 엄격한 요구 사항이 있습니다.
CCPA에 따라 PI에는 이름, 주소, 이메일, 은행 계좌 번호, 생년월일, 생체 정보, 지문 등 개인을 식별할 수 있는 모든 정보와 가구 데이터, 오디오, 열 및 후각 정보가 포함됩니다. 따라서 CCPA에 따른 PI의 정의는 이를 프라이버시 권리와 관련하여 세계에서 가장 광범위한 법률 중 하나로 만듭니다.
브랜드는 CCPA에 따라 고객에게 어떤 정보를 공개해야 합니까?
CCPA에는 매년 업데이트되어야 하는 상세한 공개 요건이 포함되어 있습니다. 회사는 지난 12개월 동안 비즈니스 목적으로 수집, "판매" 및 공개한 PI를 공개해야 하며 캘리포니아 거주자가 개인 정보와 관련하여 공개, 액세스 및 옵트아웃 권한을 갖도록 해야 합니다. 조직은 또한 수집하는 PI의 범주와 해당 정보를 수집하는 목적이 무엇인지 설명해야 하며 웹사이트, 이벤트 또는 기타 무엇이든 수집 시점에서 설명해야 합니다.
CCPA는 "판매"를 어떻게 정의합니까?
CCPA는 "판매"를 매우 광범위하게 정의하여 소수의 사람들이 데이터 판매와 연관시킬 활동을 포함합니다. CCPA에 따르면 판매는 돈을 대가로 개인 정보를 이전하는 것만을 의미하지 않습니다. 법은 또한 판매에 "대여, 공개, 공개, 배포, 제공, 이전 또는 서면으로 구두로 전달하는 것을 포함합니다. 또는 전자 또는 기타 수단을 통해 금전적 또는 기타 가치 있는 대가 로 사업체가 다른 사업체 또는 제3자에게 소비자의 개인 정보를 제공합니다."
법이 "기타 가치 있는 대가"를 정의하지 않고 "판매"의 정의에 데이터 공유가 포함되기 때문에 데이터를 판매하지 않는 많은 브랜드(단어의 고유한 의미에서)는 다음과 같이 행동해야 할 수 있습니다. 법을 준수하기 위해 그렇게 하지만. "기타 가치 있는 고려 사항"은 모든 가치를 의미하는 것으로 간주됩니다. 따라서 개인 데이터가 제3자와 공유되고 어느 한 당사자를 위해 공유할 가치가 있는 경우, 이는 CCPA에 따른 잠재적인 "판매"이며 이는 다음 중 하나입니다. CCPA가 세계에서 가장 광범위한 개인 정보 보호법 중 하나로 간주되는 이유.
CCPA에 따라 개인 정보를 "판매"하는 것으로 간주되는 브랜드에 대한 특별한 요구 사항이 있습니까?
회사가 CCPA에 따라 캘리포니아 거주자의 PI를 "판매"하는 경우 해당 조직은 웹사이트에 개인이 자신의 개인 정보 "판매"를 거부할 수 있는 눈에 띄는 "내 개인 정보 판매 금지" 링크를 포함해야 합니다. 정보. 그렇게 하지 않는 브랜드는 잠재적인 벌금 및 기타 처벌을 받게 됩니다.
CCPA에는 미성년자로부터 정보 수집에 대한 규칙이 있습니까?
CCPA는 성인이 데이터 수집을 거부할 수 있도록 허용하고 기업이 해당 거부 후 최소 12개월 동안 데이터 수집 허가를 다시 요청하는 것을 금지합니다. 그러나 16세 미만 어린이의 경우 규칙이 훨씬 더 엄격하며 개인 정보 수집에 대한 동의가 필요합니다. 그리고 12세 미만 어린이의 경우 부모의 동의 없이 PI를 수집할 수 없습니다(예: 부모 또는 다른 보호자가 해당 어린이를 선택해야 함).
CCPA는 법이 통과되기 전에 수집된 데이터에 적용됩니까?
CCPA의 적용을 받는 회사가 개인 정보를 수집하는 경우 해당 회사는 CCPA 시행 날짜인 2020년 1월 1일 이전에 데이터가 수집된 경우에도 CCPA 요구 사항을 준수해야 합니다. 이는 캘리포니아에 거주하는 소비자가 자신의 개인 정보와 관련하여 모든 권리를 행사할 수 있음을 의미합니다. 예를 들어 소비자는 귀하가 브랜드에 대해 5년 전에 수집한 데이터를 삭제하도록 요청할 수 있으며 CCPA에 따라 귀하의 브랜드는 다음을 수행할 의무가 있습니다. 그렇게 해.
CCPA 시행
CCPA의 시행 기한은 언제입니까?
CCPA는 원래 2018년 6월에 통과되었지만 조직은 법을 준수해야 하기 전에 2020년 1월 1일까지 제공되었습니다.
CCPA를 준수하지 않을 경우 어떤 처벌을 받나요?
캘리포니아 법무장관은 CCPA 위반에 대해 최대 $2,500의 벌금을 부과할 수 있는 권한이 있습니다. 그러나 이러한 조직은 비준수 통지에 30일 이내에 응답해야 하며 해당 기간 동안 문제를 해결하면 벌금이 부과되지 않습니다. 한 가지 중요한 사항은 이러한 벌금은 각 위반에 대한 것이므로 위반의 영향을 받는 사람이 100명이라면 잠재적 벌금은 $2,500가 아니라 $250,000입니다. 또한 위반이 의도적인 것으로 밝혀지면 위반 건당 최대 $7,500의 벌금이 부과될 수 있어 브랜드에 상당한 재정적 영향을 미칠 가능성이 더 높아집니다.
CCPA는 또한 개인 캘리포니아 거주자가 법을 위반했다고 생각하는 조직에 대해 불만을 제기할 수 있도록 하며 잠재적인 지불액은 1인당 최대 $750입니다.
또한 CCPA에는 개인 소송 권리가 있습니다. 즉, 개인이 회사가 CCPA의 보안 요구 사항을 준수하지 않고 해당 개인의 PI와 관련된 데이터 위반이 있다고 생각하는 경우 개인이 소송을 제기할 수 있습니다. 이 개인의 소송 권리는 집단 소송으로 이어질 수 있으며, 캘리포니아의 소송 환경에서 특히 냉철한 가능성이 있습니다. 이론적으로 이러한 유형의 소송을 제기하고 막대한 상금을 회수할 기회를 간절히 기다리고 있는 많은 원고 측 변호사가 있습니다. 많은 종류의 원고를 대신하여. 보상은 실제로 입은 피해를 초과할 수 있으므로 CCPA의 적용을 받는 회사에서 이러한 가능성은 특히 두려울 수 있습니다. 또한 현재 검토 중인 제안된 규정은 법규의 보안 요구 사항을 위반한 경우에만 허용하는 대신 CCPA의 모든 위반에 대해 개인 소송 권한을 구현하는 것을 고려하고 있습니다.
CCPA 규정 준수와 관련하여 조직은 어디에서 시작해야 합니까?
조직은 웹사이트와 캘리포니아 거주자로부터 개인 정보를 수집하는 모든 지점에 적절한 공개를 포함해야 합니다. 그들은 모든 CCPA 요청을 준수할 수 있어야 하며 CA 거주자의 개인 정보를 "판매"하는 것으로 간주되는 경우 웹사이트에 "내 데이터 판매 금지" 버튼을 눈에 띄게 포함해야 합니다.
이미 GDPR을 준수하고 있는 조직은 CCPA 준수를 위해 순조롭게 진행 중이지만 두 법률의 요구 사항이 동일하지 않습니다. 2020년 1월 1일 이전 CCPA의 요구 사항을 준수합니다.
CCPA 및 GDPR
CCPA와 GDPR은 어떻게 다릅니까?
유럽 연합의 일반 데이터 보호 규정(GDPR)은 2016년에 통과되었으며 유럽의 많은 지역에서 개인이 자신의 개인 데이터를 제어할 수 있는 기본적 권리를 가지고 있다는 암묵적인 믿음에서 영감을 받았습니다. 반면 CCPA는 캘리포니아주가 거주자의 개인 정보를 보호하고 PI의 오용(신원 도용, 금융 사기, 평판 손상, 괴롭힘 등 포함)으로부터 보호하는 데 뒤처져 있다는 믿음에서 따랐습니다. .
이러한 차이점을 감안할 때 GDPR은 주로 영향을 받는 각 개인의 개인 데이터 소유권 및 제어를 보장하는 데 중점을 둔 반면 CCPA는 온라인 회사가 캘리포니아 거주자의 인지 및 동의 없이 대량의 개인 정보와 관련된 거래를 수행할 수 있는 능력을 목표로 삼았습니다. 즉, GDPR은 데이터 저장, 액세스 및 전송을 포함하여 개인 데이터 처리와 관련된 모든 활동에 적용됩니다. 그러나 CCPA는 비즈니스 목적을 위한 개인 정보의 수집, "판매" 및 공개에만 적용됩니다.
CCPA와 GDPR은 어떤 방식으로 서로를 보완합니까?
CCPA와 GDPR은 모두 개인으로부터 개인 정보를 수집하는 조직이 해당 개인 정보로 수행할 작업을 공개하도록 요구하며 두 법률 모두 자신의 개인 정보와 관련하여 제3자에게 유사한 여러 권리를 제공합니다. 또한 두 법 모두 개인의 동의, 투명성 및 개인 정보에 대한 통제를 요구하며 두 법 모두 요구 사항을 준수하지 않을 경우 벌금을 부과합니다.
EU와 캘리포니아 간의 규제 환경 차이가 각각 CCPA 및 GDPR 시행에 영향을 미칠 것으로 예상됩니까?
캘리포니아는 유럽 연합보다 훨씬 더 소송이 많은 환경이고 캘리포니아의 규제 기관이 새해부터 법을 엄격하게 집행할 것이라는 기대 때문에 CCPA를 준수하지 않아 벌금을 부과받는 조직이 더 많아질 것입니다. GDPR 시행이 시작되었을 때보다 이를 감안할 때, CCPA 준수를 적극적으로 추구하기보다는 지켜보기로 선택한 조직은 심각한 위험을 감수할 가능성이 높습니다.